A primera vista, parece una estafa normal. Recibes un mensaje, un enlace o un código QR, y todo parece «normal». Pero no se trata de una solicitud de contraseña clásica. Es un truco que te hace hacer el trabajo tú mismo. Autorizas algo que parece legítimo. Y, en un instante, tus monedas han desaparecido. Bienvenido, has sido víctima de un cuasi-phishing o quishing.
Contenido del artículo: Quishing
- La historia del quishing: cómo los estafadores te sacan el dinero
- Peces más inteligentes, phishing más inteligente
- Quishing global y local: las múltiples caras del fraude cuasi-phishing
- En la República Checa, la policía ya está advirtiendo a la gente, pero las investigaciones no siempre son fáciles
- Quishing: ¿cómo defenderse?
La historia del quishing: cómo los estafadores te sacan el dinero
Este truco tiene una ventaja sencilla para los estafadores. No necesitan hackear ningún servidor. No tienen que romper ninguna seguridad. Lo único que tienen que hacer es crear una sensación de confianza. Conseguir que tú mismo des permiso para la transferencia. En la práctica, te envían una «reclamación» atractiva: una recompensa, un reembolso o un airdrop. Te dicen: «Conecta tu monedero criptográfico, es seguro». Lo haces y, a partir de ahí, todo suele ir cuesta abajo rápidamente.
Al principio, prevalecía principalmente en Asia. Ahí es donde comenzó. Allí, la gente cayó en la trampa de los códigos QR y los enlaces de WhatsApp ya en 2023-2024. Luego se extendió rápidamente. En la República Checa, las oleadas más grandes comenzaron en la primavera de 2024 y, en 2025, la policía ya se ocupaba de ello de forma habitual.
Quizás te interese: ¡Cuidado con las estafas de IA!
Peces más inteligentes, phishing más inteligente
Los atacantes no solo ganan con la tecnología. Ganan con el lenguaje y la «apariencia». Los textos están localizados. Parecen checos, no como una mala traducción. Las imágenes y los logotipos son creíbles. A veces incluso están fotografiados profesionalmente. Así que cuando alguien te envía un enlace, parece que ha sido enviado por un lugar o servicio conocido. Eso es dirigido.
El componente social también juega un papel importante. La campaña no se lleva a cabo a través de un solo canal. Hay anuncios, vídeos falsos, grupos de Telegram, incluso «influencers», a veces montados. Todo esto junto crea la ilusión de que está verificado. Y aquellos que ven la «prueba» una y otra vez comienzan a creerla. Es entonces cuando se enciende la luz roja de la racionalidad y la luz verde de la confianza.
Quishing global y local: las múltiples caras del fraude cuasi-phishing
¿La técnica? No es necesario profundizar demasiado en ella. Lo principal es que te obliga a «conectarte» o «aprobar». No es que alguien haya robado tu contraseña. Es que tú lo has aprobado. Por eso es tan traicionero. Parece oficial y pasa por las herramientas habituales de monedero electrónico.
Es sorprendente lo rápido que lo localizan. Cuando se dirigen a checos, el sitio habla checo. Cuando se dirigen a alemanes, habla alemán. Los centros de llamadas organizados son excelentes en esto. Tienen traductores. Tienen marketing. Y tienen instrucciones paso a paso sobre cómo guiar a la víctima. En la práctica, esto significa que incluso los usuarios más experimentados pueden ser víctimas, porque todo el escenario está «hecho a medida».
Más de nuestro equipo editorial: Reseña de FX Junction
En la República Checa, la policía ya está advirtiendo a la gente, pero las investigaciones no siempre son fáciles
En la República Checa, suele suceder lo siguiente: recibes un mensaje sobre un reembolso o un airdrop «exclusivo» de una criptomoneda. A continuación, alguien te guía a través de los pasos. Alguien te llama y te guía a través de WhatsApp. Alguien te convence para que instales una aplicación o hagas clic en un enlace. Y cuando te conectas, se produce una transacción que tú mismo has confirmado. Ese momento es el punto de inflexión. Después de eso, es prácticamente imposible recuperar tu dinero.
¿Investigación? Es un proceso largo. El problema para la policía y los expertos forenses es que el bloque no se «rompe»: todo se ha hecho de forma legal desde el punto de vista técnico. Por lo tanto, los analistas se centran en la infraestructura. Supervisan los dominios, el alojamiento, la redirección DNS y los servidores a corto plazo. Hacen capturas de pantalla de los sitios web. Recopilan registros. Buscan elementos comunes entre los diferentes ataques. Esto suele conducir al descubrimiento de la red.
Más: Reseña de Trust Wallet
Quishing: ¿cómo defenderse?
En la práctica, para la persona media: nunca haga clic sin pensar. Si alguien le ofrece «asistencia» o «ayuda» a través de un enlace desconocido, llame al número de servicio oficial. No instale aplicaciones que se recomienden a través de un enlace desconocido. No conecte su monedero criptográfico a nada que no haya iniciado usted mismo. Son pasos sencillos, pero detienen muchos ataques.
¿Qué pasa con las empresas y las plataformas? La prevención y la respuesta rápida son esenciales en este caso. Las empresas deben supervisar la vida útil de los dominios y las redirecciones. Las plataformas de intercambio y los grandes actores deben advertir a los clientes de forma clara y frecuente. La policía debe disponer de canales para solicitar rápidamente los registros de los proveedores de alojamiento y las CDN. Cuando todo esto se combina, aumentan las posibilidades de recuperar el dinero.
En última instancia, también hay un aspecto psicológico en todo esto. La estafa no ataca la tecnología. Ataca la confianza en la tecnología. Aprovecha el hecho de que la mayoría de la gente ya confía en la cadena de bloques. Y saca partido de esa confianza. Es un poco como la manipulación en una secta. Poco a poco te muestran que «esto es seguro» hasta que un día simplemente haces lo que ellos quieren. Es difícil defenderse de esto si no estás en guardia.
